Kumppani-integraatioarkkitehtuurin tietoturvauhat ja niiltä suojautuminen

Abstract

Digitalisaatio on siirtänyt usean yrityksen liiketoiminnan kybermaailmaan. Yritykset etsivät yhä tehokkaampia tapoja arvon tuottamiseen sidosryhmilleen saavuttaakseen kilpailuetua. Alustaekosysteemiksi kutsutaan liiketoiminta- ja sovellusarkkitehtuurista mallia, jossa pääasiallinen toimija tarjoaa teknologisen alustan sidosryhmiensä käyttöön. Sidosryhmien rakentaessa omia sovellusympäristöjään alustan varaan muodostuu symbioottista arvontuottoa, josta jokainen ekosysteemin sidosryhmä hyötyy. Kumppanirajapinta on rajatuille sidosryhmille palveluna tarjottava teknologinen alusta. Kumppani-integraatioarkkitehtuuriksi kutsutaan arkkitehtuurista mallia, joka mahdollistaa alustaekosysteemin muodostamisen kumppanirajapintojen avulla. Kumppanirajapintojen avaaminen organisaation ulkopuolisille tahoille lisää organisaation kyberhyökkäyksille alttiin hyökkäyspinta-alan määrää. Tietovarojen turvallisuuden varmistaminen on alustaekosysteemin alustan ylläpitäjän liiketoiminnan turvaamisen kannalta välttämätöntä. Tietomurrot muodostavat organisaation jatkuvuutta uhkaavia riskejä, joihin täytyy varautua. Tutkimuksen toimeksiantona tilannut yritys X halusi vastauksen tutkimuskysymyksiin: ”Mitkä ovat kumppani-integraatioarkkitehtuurin kannalta keskeisimmät tietoturvauhat?” ja ”Millaisilla toimilla näitä tietoturvauhkia tulisi ennaltaehkäistä?” Vastausta tutkimuskysymyksiin etsittiin integroivan kirjallisuuskatsauksen avulla, koska menetelmä soveltuu pirstaleisen tiedon kokoamiseen eheäksi kokonaisuudeksi. Tutkielmassa esitellään REST-standardin mukaisten verkkorajapintojen yleisimmät tietoturvauhat ja parhaat käytännöt, joita hyödyntämällä niiltä voidaan suojautua. Kumppani-integraatioarkkitehtuurin käsite määritellään tutkielmassa parhaan tietoni mukaan ensimmäistä kertaa tieteellisessä kirjallisuudessa.

Many companies have moved their businesses to the cyber world due to digitalization. Companies are actively looking for new and more effective ways of creating value for their stakeholders. A platform ecosystem is a business and software architecture model in which the platform administrator offers a technological platform for the use of its stakeholders. When stakeholders build their own software environments based on the platform, a symbiotic value generation is formed, from which every stakeholder in the ecosystem benefits. A partner application programming interface (API) is a technological platform offered as a service to limited stakeholders. Partner-integration architecture is an architectural model that enables the formation of a platform ecosystem with the help of partner APIs. Opening partner APIs to parties outside of the organization increases the amount of the organization’s attack surface exposed to cyberattacks. Ensuring the safety of the information assets is essential for the safety of the business of the platform ecosystem’s platform administrator. Data breaches constitute risks that threaten the continuity of the organization, which must be prepared for. Company X, which commissioned the study, was seeking answers to the research questions: ”Which are the most important information security threats concerning partner-integration architecture?” and ”What measures should be taken to prevent these information security threats?” An integrative literature review was chosen as the research method because it is suitable for assembling fragmented information into a whole. The thesis presents the most common information security threats of REST-based APIs and the best practices that can be used to defend against them. After extensive research on the subject, to my knowledge the concept of partner-integration architecture is defined in this thesis for the first time in scientific literature.